Abo
  • Services:

Malware: Derusbi umgeht trickreich die Windows Driver Signing Policy

Sicherheitsforscher haben neue Details zu der seit mehreren Jahren aktiven Derusbi-Malware veröffentlicht. Die Malware nutzt Schwachstellen in Treibern aus, um sich unentdeckt auf dem System zu installieren.

Artikel veröffentlicht am , Tim Philipp Schäfers
Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Die aus verschiedenen Hacks bekannte Malware Derusbi nutzt eine Schwachstelle in einigen Treibern aus, um die Driver Signing Policy des Betriebssystems Windows außer Gefecht zu setzen - das hat die Sicherheitsfirma Sekoia herausgefunden.

Stellenmarkt
  1. niiio finance group AG, Lüneburg, Dresden, Frankfurt am Main, Görlitz
  2. Dynamic Engineering GmbH, Augsburg

Derusbi ist keine unbekannte Malware. Bereits im Jahr 2008 wurde die Schadsoftware entdeckt. In den vergangenen Jahren tauchte auch vermehrt verwandte Schadsoftware auf. 2011 wurde Derusbi beispielsweise bei einem Hack auf Mitsubishi Heavy Industries eingesetzt. Auch bei dem sogenannten Anthem Hack in diesem Jahr, bei dem rund 79 Millionen Datensätze von Versicherten kopiert wurden, kam sie zum Einsatz.

Die Funktionsweise ist typisch für ausgereifte Malware und Trojaner: Nachdem ein sogenannter Loader ausgeführt wurde, vermutlich mittels Phishing oder Drive-By-Download, wird Derusbi auf das anzugreifende Zielsystem nachgeladen und erweitert die notwendigen Rechte, um einen Angriff vorzunehmen. So können die Systeme so manipuliert werden, dass der eigentliche Angriff erfolgreicher verläuft. Noch dazu wird es Antivirensystemen schwerer gemacht, die eigentliche Schadsoftware auszumachen.

Eine Schwachstelle in alten Treibern ermöglicht den Angriff

Die Experten der französischen Sicherheitsfirma Sekoia haben nun herausgefunden, wie genau es der Schadsoftware gelingt, sich auf dem Zielsystem als legitim auszugeben und warum sie nur schwer durch gängige Abwehrmechanismen gestoppt werden kann. Die Entwickler von Derusbi nutzen eine Schwachstelle (CVE-2013-3956) in veralteten Treibern, um eine Manipulation von Speicheradressinhalten vorzunehmen. Damit gelingt es ihnen, die sogenannte Driver Signing Policy auszutricksen.

Diese Policy dient seit Windows Vista dazu, dass nur signierte und damit von vertrauenswürdigen Herstellern erstellte Treiber geladen werden können. Dieser Mechanismus soll also sicherstellen, dass keine Rootkits installiert werden können. Die Driver Signing Policy lässt sich zwar manuell komplett ausschalten, doch dann befindet sich der Windows-PC im Testmodus, was mit dem Wasserzeichen "Testmodus" in der rechten unteren Ecke des Bildschirmes deutlich gemacht wird - also ein äußerst auffälliges Vorgehen für eine Schadsoftware, die im Verborgenen bleiben möchte.

Driver Signing Policy wird unsichtbar deaktiviert

Laut Sekoia nutzt Derusbi einen neuen Weg, um die Driver Signing Policy zu umgehen. In dem untersuchten Fall werden drei signierte Treiber der Firma Novell geladen, die gegenüber der genannten Schwachstelle anfällig sind, so dass die Speicheradressinhalte manipuliert werden können. Das Besondere an dem Vorgehen ist, dass die Driver Signing Policy durch die Manipulation nicht unmittelbar deaktiviert, sondern letztlich nur der innere Mechanismus zur Überprüfung außer Gefecht gesetzt wird. Die Richtlinie bleibt erhalten, wird aber faktisch wirkungslos. Somit bemerkt weder der Nutzer noch das Betriebssystem oder die Antivirensoftware, dass die Driver Signing Policy nicht so arbeitet wie eigentlich angedacht. Sind diese Vorbereitungen von Derusbi getroffen, wird weitere Schadsoftware platziert und ausgeführt, und der Angriff nimmt seinen Lauf.

Die Experten von Fortinet kamen bereits in früheren Untersuchungen zu dem Ergebnis, dass Derusbi sehr modular ist und von den Entwicklern ein mehrstufiger Ansatz gewählt wurde. Zudem wird die Schadsoftware nur auf bestimmte Ziele angesetzt. Die neuen Erkenntnisse stützen diese Thesen und zeigen, wie zielgenau die Entwickler Schwachstellen zu nutzen wissen, um letztlich Zugriff auf Zielsysteme zu erlangen.

Sowohl die lange Historie der Malware als auch die trickreichen Vorgehensweisen zeigen, dass die Entwickler eine ganze Reihe an Möglichkeiten (und Exploits) haben, um Zielsysteme zu befallen. Es ist anzunehmen, dass das ermittelte Vorgehen zum Befall nur eines von vielen ist und es sich bei Derusbi um einen Baustein einer ganzen Schadsoftware-Suite handelt. Die Entwickler scheinen ein sehr großes Insiderwissen über den Windows-Kernel zu haben und noch dazu ausreichende Ressourcen, um gezielte Angriffe vornehmen zu können. Möglich also, dass es sich um einen Geheimdienst oder eine Organisation mit ähnlich großen Ressourcen handelt.



Anzeige
Top-Angebote
  1. (Zugang für die ganze Familie!)
  2. 14,99€
  3. 519€
  4. (heute u. a. Dual DT 210 Plattenspieler 77,00€ statt 111,99€)

Schiwi 10. Dez 2015

Trotzdem beunruhigend dass die Malware Hersteller wohl über große Ressourcen und offenbar...

multivac 08. Dez 2015

zu 1.) Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
    Shine 3
    Neuer Tolino-Reader bringt mehr Lesekomfort

    Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
    Ein Hands on von Ingo Pakalski

    1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

      •  /